Comments 43
И куда идти себя искать?
На КДПВ есть адрес тг канала, в нем можно найти бота для проверки.
А где КДПВ?
Она в ленте новостей отображается, а в самой новости ее нет. Спасибо Хабру за это.
Да где? https://imgur.com/a/JwUQ7nZ
Вот здесь: https://habr.com/ru/news/
Искать слитого себя в телеграм боте группы людей, которая занимается поиском слитых данных - гениально.
@PaulIshканал в известном мессенджере - dumpforums
Их комментарий (почему 5к строк) можно найти в каналах участников, но ссылки давать не буду. Кому надо, тот найдет.
Никогда такого не было и вот опять.
По идее, я бы должен возмутиться, прочтя эту новость. Но хватает только на "Шо, опять?!" (и картинка с волком в лесу).
P.S. Только за последний год лично я был потенциальной жертвой, как минимум, пары-тройки сливов у достаточно крупных контор. А сколько чего про меня реально утекло в последние годы - и задумываться боюсь.
В общем, смех сквозь слёзы :)
Главное чтобы биометрия не утекла. Иначе это будет полное фиаско.
Если буржуинство продавит закон разрешающий сбор биометрии без согласия жертв пользователей, то сбор и последующая утечка БД являются только вопросом времени.
Пара статей на Хабре прямо указывает вектор развития ситуации:
IgnatChuker - Госдума одобрила поправки о передаче биометрии без согласия субъекта персональных данных, 06.07.2022
denis-19 - Минцифры предложило использовать Единую биометрическую систему (ЕБС) при дистанционной сдаче экзаменов, 26.08.2022
Пока сбор идёт тихо и ненавязчиво, не особо драконя граждан. Но учитывая всё увеличивающийся накал социума буржуинство ради реализации своей монополии на насилие дальше будет вынуждено сделать сдачу биометрии обязательной.
Вот что пишет минцифры https://t.me/mintsifry
Опровергаем информацию об утечке данных с Госуслуг. В сети появился фрагмент якобы базы данных пользователей Госуслуг, содержащий 5 тыс. записей. Мы проверили этот файл и выяснили, что в нем нет того набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Учетные данные пользователей портала (логины и пароли) не были скомпрометированы, информация надежно защищена.
По данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощенную идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей.
Получается что данные всё таки из базы госуслуг, и проверка кампании допустившей утечку этих ПД была проведена в недостаточной мере. Вообще минцифры сами виноваты. Их полумеры по защите IT фактически лишь показуха. Многие IT компании писали что чтобы удержать специалистов нужны гарантии. Сейчас специалисты по безопасности покидают страну, и это заслуга только минцифры. Что может быть дальше страшно представить.
Если я правильно прочитал, то до полного набора параметров не хватает только логина и пароля. Вот только и без этих недостающих данных в файле хватает информации, которой могут воспользоваться злоумышленники. Интересно, дело заведут, оборотный штраф назначат? (Вопрос риторический)
Можно предположить, что некая ООО «РиК», организовывая идентификацию пользователей через ЕСИА, не должна получать дамп всех учёток, а вытягивать данные только идентифицируемых конкретных лиц? И в этом случае в списке должны быть только записи конкретной группы людей, использовавших конкретный онлайн-ресурс?
а если купить эту базу, для проверки наличия своих данных, меня посадят за нарушение 152ФЗ закона или сразу расстреляют?
К слову на счет биометрии, тут некоторые опасаются возможной утечки, ЕСИА не хранит биометрию, этим ЕБС занимается, там с безопасностью еще все более серьезно, в плоть до кастомных алгоритмов шифрования для доступа. Знаю людей кто ее делал и занимался поддержкой, там все достаточно неплохо было с безопаностью по крайней мере на 20й год
Надеюсь, что я не ошибся. Поправьте меня, если что-то уже не актуально. Будем надеяться, что ничего серьезного не случилось
Ага. Верю. Я тоже видел человека, который видел бутылку из под водки за 2р. 87 коп.
все более серьезно, в плоть до кастомных алгоритмов шифрования
Это же наоборот обычно минус, так как подразумевает что алгоритм и доказательство его корректности не прошли публичной проверки и рецензирования?
да и с безопасностью там все довольно серьезно, когда работал в гос-ке много гемороя было с получением доступов.
Можете в контексте этого утверждения предложить разумное объяснение тому, почему код страницы настроек аутентификации, вызывающий вот это (см. ниже) оказался на "боевом" сервере, как работающий? Что еще у разработчиков, которые должны были хоть раз проверить, работает ли включение аутентификации по TOTP, должно быть отключено в CORS policy, чтобы это работало?
Чтобы при тестировании функционала, который вызывает эти ошибки, он сработал без ошибок, куча настроек безопасности browser-а должны быть отключены.
Так что варианта - два: либо они отключены (добавлены исключения и т.п.), либо это никто не тестировал. Оба варианта не вяжутся с "всё хорошо с безопасностью".
А вы какой-то философии написали, которая к делу не относится.
"плоть до кастомных алгоритмов шифрования для доступа", которые не проходили широкий аудит и вероятность незамеченного бага там выше, чем у повсеместно используемых.
Не было такого. И вот опять никогда!?
Как мне кажется, нужно брать штрафы в пользу людей, которые доверили свои перс. данные сервису, гарантирующему их безопасное хранение. Сейчас у нас законодательство вроде обозначило какие-то штрафы, но они идут в пользу государства, что не совсем правильно, так как пострадавшая сторона не государство, а человек.
При этом нужно обозначить стоимость каждого пункта по важности. Например за СНИЛС брать 10 тыс. руб, а за адрес уже в 10 раз больше.
В открытый доступ выложены данные из базы портала Госуслуги